華航子公司行動刷卡安全疑慮


Posted by Ethan on 16 十月 2011 /


 

華信GO1

在智慧型手機App爆炸的時代,各大公司無不爭先恐後推出自家品牌的App,
一方面可以宣傳知名度,另外一方面可以多一個管道對使用者服務,
而手機上的電子商務也越來越普及,除了筆者在您所使用行動商務真的安全嗎?內提到的證券下單、行動銀行外,
甚至是訂高鐵票以及飛機票等都逐漸推出自己的服務,包括中華航空的的子公司華信航空,
華信航空也推出的自家的App華信GO,除了航班資訊外也進一步做到線上訂位,
但是,在急著推出App的同時,華信並未考慮到電子商務的交易安全,
由於華信GO率先提供飛機訂票服務,打著這樣的口號出來,
等於對航空業者的市場投下一顆震撼彈,下一個出來的顧客服務可就不是查查飛機時刻表就可以了事了,
我們深入研究華信的APP,針對購買機票的部份。

步驟大概如下:

# 首先進入小三通購票功能,系統會先秀購票須知,點進去詳細看內容,
Highlight 一段話出來備用,

本系統之信用卡付款交易已透過 SSL加密系統加密認證,您的資料將被安全保護。您所輸入之個人資料除作訂位開票交易相關事項或因政府執法機關依法定程序要求外,不會透漏給第三者作商業或其他用途。

Photo 11 10 16 上午11 10 17

 

#接著填寫個人資訊,包含信用卡跟訂位資料等…。

Photo 11 10 16 上午11 12 46Photo 11 10 16 上午11 13 31Photo 11 10 16 上午11 13 35

# 一切輸入完畢後按下確認訂位,這時候App會與系統進行交易,交易完成後您的訂以及付款就成功了。

 

一切看起來非常的正常,但是我們實際擷取交易電文後出來看,卻發現完全不是那麼一回事,
以下是交易電文:

 

<?xml version="1.0"?>
<BOOKINGINFO>
  <FLIGHTINFO>
    <FLIGHTNUMBER>AE1265</FLIGHTNUMBER>
    <DEPDATE>2011-10-17</DEPDATE>
    <DEPARTURECITY>TSA</DEPARTURECITY>
    <ARRIVALCITY>KNH</ARRIVALCITY>
  </FLIGHTINFO>
  <FLIGHTINFO>
    <FLIGHTNUMBER> 411</FLIGHTNUMBER>
    <DEPDATE>2011-10-17</DEPDATE>
    <DEPARTURECITY>KNH</DEPARTURECITY>
    <ARRIVALCITY>DXM</ARRIVALCITY>
  </FLIGHTINFO>
  <PASSENGERINFO>
    <FIRSTNAME>LIN</FIRSTNAME>
    <LASTNAME>ETHAN</LASTNAME>
    <BIRTHDAY>1965-10-17</BIRTHDAY>
    <IDTYPE>1</IDTYPE>
    <IDNO>E123075466</IDNO>
  </PASSENGERINFO>
  <CONTACTINFO>
    <CONTACTNAME>LINETHAN</CONTACTNAME>
    <MOBILEPHONE_TW>0912345678</MOBILEPHONE_TW>
  </CONTACTINFO>
  <CREDITCARDINFO>
    <CARDTYPE>VI</CARDTYPE>
    <CARDNO>5433748411112222</CARDNO>
    <CARDMONTH>03</CARDMONTH>
    <CARDYEAR>2012</CARDYEAR>
  </CREDITCARDINFO>
</BOOKINGINFO>

可以發現,剛剛在資料輸入畫面所有的資料在電文內都是明文顯示,
而我們實際就封包截取的內容看來也完全沒有走SSL加密的動作,
我們再回顧一下剛剛的購票須知:

本系統之信用卡付款交易已透過 SSL加密系統加密認證,您的資料將被安全保護。您所輸入之個人資料除作訂位開票交易相關事項或因政府執法機關依法定程序要求外,不會透漏給第三者作商業或其他用途。

跟華信所聲明的完全是兩碼子事,為趕上線欺騙消費者以及違反消保法規定,

引述電子商務消費者保護綱領(中華民國九十年十一月五日行政院台九十聞字第0六三四四四號函核定)

六、交易安全
(一)、 企業經營者應採取適當之措施保障交易安全,以保護於網路上傳輸及儲存於企業經營者處之付款及個人資料。
(二)、 企業經營者應提供消費者其所使用之安全及認證技術資訊,讓消費者瞭解該系統之風險。
(三)、 企業經營者應鼓勵消費者以安全方式提供個人機密資料。
(四)、 企業經營者應依相關之安控標準隨時更新所使用之安全及認證技術,以保持或提升交易安全等級。

顯然華信並未遵守規定,且AP已經更新至1.2版也尚未改善,
筆者不得不跳出來呼籲一下,希望華信能夠儘快改進,免得哪天真的造成個資洩漏才出來道歉,
在發文的同時,筆者也同時參考了我要搭高鐵的App(他也提供了高鐵訂票服務),
相對的,該作者就遵循了加密的規定,並沒有如華信航空那樣罔顧消費者權益,
在這裡也應該鼓勵一下我要搭高鐵的作者,希望用心的App有更多的支持。
其實在華信推出手機App之前,他們也推出了mobile web的網頁,http://mobile.mda.com.tw
點過去看可以發現一樣沒有做任何的加密動作,現在一張SSL憑證並沒有多少錢,
更何況對那麼大的航空公司而言,不知道是外包廠商收錢沒做事,還是真的是華信/華航缺乏監督,
不管怎樣,都希望各大公司後續在推類似電子商務服務的同時能夠針對資訊安全這塊多做著墨才是。

 

 

# 2011/10/19  華信將華信GO這隻App下架。

# 2011/10/27 華信GO重新上架,偷偷加上了SSL認證,雖然更新說明內隻字未提。

 

熱門指數: 5% [?]

關於作者 Ethan

avatar

Facebook評論:

Leave a Reply